Crash Course AVG

22 mei 2018 Nieuwsbrief Erik van Loon

N.b. Dit artikel is meer dan een jaar geleden voor het laatst gewijzigd. De informatie kan verouderd zijn.
Bij de term ‘risk management’ denk ik op dit moment meteen aan de Algemene Verordening Gegevensbescherming en de Nederlandse uitvoeringswet (hierna samen: AVG). In de afgelopen weken merkte ik dat steeds meer ondernemers zich (eindelijk) realiseerden dat de AVG binnenkort een feit is. En dat deze nieuwe wetgeving behoorlijk wat verplichtingen (en dus risico’s) met zich brengt. Tijd dus voor een korte ‘crash course AVG’. In dit blog vat ik de inhoud van de AVG kort samen, behandel ik de belangrijkste ‘misvattingen’ en geef ik tot slot aan hoe de risico’s kunnen worden afgedekt.

AVG in het kort

De AVG is – eenvoudig weergegeven – een Europese wet die het niveau van de bescherming van persoonsgegevens in de Europese lidstaten gelijk trekt. Persoonsgegevens zijn gegevens, of een combinatie van gegevens, aan de hand waarvan individuele personen kunnen worden geïdentificeerd. Iedereen die persoonsgegevens van een ander verwerkt is een zogenoemde ‘verwerkingsverantwoordelijke’ en moet voldoen aan de AVG. Onder ‘verwerken’ wordt onder andere verstaan: verzamelen, opslaan, wijzigen, raadplegen, verstrekken, etc. Meer concreet: iedere organisatie die een (simpel) klantenbestand bijhoudt of een mailinglist gebruikt voor reclames en nieuwsbrieven, moet al voldoen aan de AVG. De AVG verplicht de verwerkingsverantwoordelijke onder andere om aantoonbaar:
  • een register van verwerkingsactiviteiten bij te houden;
  • (in bepaalde gevallen) een gegevensbeschermingseffectbeoordeling uit te voeren;
  • passende beveiligingsmaatregelen te nemen;
  • overeenkomsten te sluiten met zogenoemde ‘verwerkers’; en
  • degene van wie de persoonsgegevens worden verwerkt tijdig te informeren.
De verwerkingsverantwoordelijke moet tevens bepalen:
  • Welk soort persoonsgegevens hij verwerkt. Zijn dit slechts NAW-gegevens of ook andere gegevens zoals leeftijd, geslacht en/of inkomensgegevens?
  • Hoe hij die persoonsgegevens verwerkt.
  • Welk doel hij heeft bij het verwerken van de gegevens. Doet hij dit voor interne administratie of bijvoorbeeld voor marketingdoeleinden?
  • Welke AVG-grondslag hij heeft om de verwerking te rechtvaardigen. De grondslagen zijn onder andere:
    • de noodzaak om te voldoen aan een wettelijke verplichting,
    • de noodzaak voor de uitvoering van een overeenkomst; of
    • de toestemming van degene wiens gegevens worden verwerkt.
De antwoorden op deze vragen moet de verwerkingsverantwoordelijke delen met degene van wie hij de persoonsgegevens verwerkt, en wel nog vóór de informatie wordt verkregen.

Belangrijkste misvattingen

‘De Nederlandse overheid last een overbruggingsperiode in.’ Nee, er komt geen officiële overbruggingsperiode. Vanaf 25 mei aanstaande moet u voldoen aan de nieuwe wetgeving. De Autoriteit Persoonsgegevens gaat vanaf die datum controleren en handhaven. Weliswaar zou de Autoriteit Persoonsgegevens kenbaar hebben gemaakt dat zij nu te weinig middelen heeft, maar daar zou ik niet op durven gokken. ‘Er zal wel een uitzondering zijn, zodat ik niet onder de AVG val.’ Nee, er is (praktisch) geen uitzondering. Nederland heeft ervoor gekozen om de AVG-bepalingen van toepassing te laten zijn als er ‘structurele verwerking plaatsvindt. Zoals gezegd: het bijhouden van een simpel klantenbestand valt al onder die structurele verwerking. ‘Toestemming kan ook met algemene voorwaarden worden verkregen.’ Dit is nog onduidelijk, maar mijns inziens niet. De AVG schrijft namelijk voor dat de vereiste toestemming voor de verwerking van persoonsgegevens vrij, ondubbelzinnig, specifiek en geïnformeerd moet worden verleend. Ik vraag mij af of een standaardbepaling in de algemene voorwaarden aan die criteria voldoet. ‘De AVG ziet slechts op digitale gegevens en digitale verwerking.’ Nee, de AVG ziet op verwerking van persoonsgegevens en maakt geen onderscheid tussen digitaal of analoog. Een archiefkast met dossiers of een rolodex (een kaartenmolen) is eveneens een vorm van het opslaan van persoonsgegevens en valt dus onder de werking van de AVG.

Hoe dek ik mijn risico’s af?

Naast het bijhouden van het zogenoemde verwerkingsactiviteitenregister, zijn de drie belangrijkste zaken waaraan u moet voldoen:
  • het treffen van de ‘passende technische en organisatorische beveiligingsmaatregelen’;
  • het sluiten van een zogenoemde ‘verwerkersovereenkomst’ met alle partijen die in uw opdracht verwerkingen uitvoeren; de zogenoemde ‘verwerker’, zoals uw ICT-dienstverlener, het kantoor voor de loonadministratie en de beheerder van uw website; en
  • het (laten) opstellen van een ‘privacy statement’, waarin u degene wiens gegevens u verwerkt informeert over die verwerking.

Disclaimer

In verband met mijn eigen risk-management geef ik hierbij het goede voorbeeld en dek ik mijn risico’s volledig af met deze disclaimer. Het voorgaande is immers een zeer vereenvoudigde weergave van de werkelijkheid. De AVG, en de verplichtingen die de AVG schept, zijn een stuk complexer dan hiervoor weergegeven. Aan deze blog kunnen om die reden geen rechten worden ontleend. Als u zeker wilt weten dat u voldoet aan de AVG-verplichtingen, kunt u contact met mij opnemen (evl@ak-advocaten.eu en tel. 06-20542778). Fotocredits: maxsim / Adobe Stock

Over de blogger
Erik van Loon

Binnen het ondernemingsrecht heeft Erik twee duidelijke specialisaties: het faillissementsrecht en het rechtspersonen- & vennootschapsrecht. Het zijn voornamelijk ondernemers die vertrouwen op deze specialistische kennis van Erik.

Meer artikelen van Erik van Loon
Erik van Loon

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.